Понедельник, 23.12.2024, 14:36
# FreeBSD ГлавнаяРегистрацияВход
Приветствую Вас Гость | RSS
Меню сайта
Категории раздела
Мои статьи [167]
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
 Каталог статей 
Главная » Статьи » Мои статьи

Настраиваем фаерволл через SSH
В данной заметке речь пойдет о такой мало приятной процедуре, как настройка Firewall на удаленном сервере. При этом под удаленным сервером понимаем ПК установленный как минимум в другом городе, осознание рисков и трясущиеся поджилки нормальная ситуация, если.....
....если не предприняты самые примитивные методы, чтобы обезопасить себя от неприятностей. Покажу на примере ipfw --> FreeBSD, для других систем принцип тот же.

Действительно, риск заблокировать сервер очень велик, особенно, если по умолчанию принимаем правило "запрещаем все всем", нужное открываем. Тут еще денежная сторона вопроса, например для подключения к колокейшен серверу сетевого KVM на час, хостер может требовать 500р, а это мало понравится работодателю, особенно если блокируемся несколько раз :)))).

Прежде чем начинать настраивать помещаем в кронтаб скриптик, который будет отключить фаер каждые 15 минут к примеру. Если заблокировались, через 15 мин, фаер выключится и доступ открыт :)))

*/15 * * * * /usr/local/etc/script/ipfw_stop.sh

Как видим скрипт ipfw_stop.sh размещен в каталоге /usr/local/etc/script/, как создавать думаю объяснять лишне. Ну и сам скрипт в одну команду:

#!/bin/sh
/etc/rc.d/ipfw stop

Самое ВАЖНОЕ! Не забывайте закомментировать команду в кронтабе, после всех настроек. И убедитесь, что на момент отключения от сервера фаерволл находится во включенном состоянии.

Удачи.
Охальников Олег aka H@wk! 
     
Просмотров: 512

  Коментарии (9)
RSS комментарии
 1 Написал(а) Игорь, в 23:12 09.11.2010
понял, заработало спасибо...
 2 Написал(а) H@wk!, в 22:22 09.11.2010
Сейчас специально проверил, у меня работает такой вариант: 
---SCRIPT--- 
#!/bin/sh 
 
/sbin/iptables -F; 
/sbin/iptables -X; 
/sbin/iptables -t nat -F; 
/sbin/iptables -t nat -X; 
/sbin/iptables -t mangle -F; 
/sbin/iptables -t mangle -X; 
/sbin/iptables -P INPUT ACCEPT; 
/sbin/iptables -P FORWARD ACCEPT; 
/sbin/iptables -P OUTPUT ACCEPT; 
--------- 
Обрати внимание, пишем именно /sbin/iptables, просто iptables не срабатывало. 
Скрипт обозвал /scripts/iptablesoff 
Права chmod +x /scripts/iptablesoff соответсвенно. Далее в крон: 
sudo crontab -e 
... 
*/2 * * * * /scripts/iptablesoff 
... 
т.е. 2 минуты и стоп. 
У меня очищает все цепочки. 
Кстати просто в кронтабе */2 * * * * /sbin/iptables -F 
тоже срабатывает, но в скриптом вернее, им чистим все. 
 
p.s. После добавления строки в крон, смотри  
tail -f /var/log/syslog 
на предмет 
... 
Nov 9 22:10:01 support /USR/SBIN/CRON[9939]: (root) CMD (/scripts/iptablesoff) 
Т.е. что крон выполняет задание, ну и вообще вот эти строки: 
Nov 9 22:07:28 support crontab[9905]: (root) LIST (root) 
Ну и что обновляет после изменений (добавление удаление заданий): 
Nov 9 22:11:01 support /usr/sbin/cron[8942]: (root) RELOAD (crontabs/root)
 3 Написал(а) Игорь, в 20:53 09.11.2010
да я образо говорю кидаю в крон, опишу что я делаю а делаю я так 
*/5 * * * * /home/test.sh 
срипт естествено делаю исполняемым 
test.sh содержимое: 
#!/bin/sh 
iptables -F; 
# END 
 
если тупо с консоли запускаю скрипт то все нормально отрабатует ...
 4 Написал(а) H@wk!, в 19:57 09.11.2010
В смысле "кидаю в крон". Надо выполнить команду  
sudo crontab -e 
и добавить строку один в один  
*/15 * * * * /dir_script/script_off_iptables.sh 
советую при выполнении скрипта полностью указать путь от корня и весь этот полный путь копирнуть заместо /dir_script/script_off_iptables.sh 
Советы тут заочно пишу, сейчас проверю где нибудь, думаю должно срабатывать.
 5 Написал(а) Игорь, в 19:05 09.11.2010
эээ сделал скриптик сделал его испоняемым, через консоль проверяю работает кидаю в крон не работает... ((( так гдето я с кроном видать допускаю ошибку...
 6 Написал(а) H@wk!, в 17:55 09.11.2010
А если эти команды в скрипт? Я имел ввиду как то так:  
---- 
#!/bin/sh 
iptables -F; 
iptables -t nat -F; 
# END 
---- 
Скрипт исполняемый и пробуем выполнить его, сбрасывает правила? А дальше уже скрипт в рутовый крон по времени, т.е. sudo crontab -e  
--- 
*/15 * * * * /dir_script/script_off_iptables.sh
 7 Написал(а) Игорь, в 17:30 09.11.2010
эээ попробовал поставить в крон строку iptables -F не срабатывает попробовал /sbin/iptables -F тоже самое 
 
30 16 * * * iptables -F 
30 18 * * * /sbin/iptables -F 
 
может както по другому надо ? просто в консоли сли писать то пашет...
 8 Написал(а) H@wk!, в 08:39 31.10.2010
Думаю, это можно делать скриптом, в котором команды на обнуление цепочек правил. 
iptables -F 
iptables -t nat -F 
Скрипт в Cron на 15 мин, т.е. через 15 мин правила стираем.
Категория: Мои статьи | Добавил: Admin (06.04.2011)
Просмотров: 1250 | Комментарии: 3 | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *:
Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • Copyright MyCorp © 2024Сделать бесплатный сайт с uCoz